Aller au contenu

Confrontation pre-Gate 3 - PD-177

1. Convergences

[CV-01] Mode de custody S2 exclusif Sources : PD-177-specification.md §2 Perimetre/Hors perimetre, §4 INV-177-07 ; PD-177-tests.md §2 TC-177-02, §4 TC-ERR-01 Constat : Les documents s'alignent sur un mode autorise unique (S2) et sur le rejet explicite de S1/S3 dans le perimetre PD-177.

[CV-02] Unicite du wallet officiel actif Sources : PD-177-specification.md §4 INV-177-01, INV-177-02 ; PD-177-tests.md §2 TC-177-01, TC-177-08 Constat : Les deux documents convergent sur l'exigence d'une seule adresse active a un instant donne, avec association des emissions a l'adresse active au moment de l'ancrage.

[CV-03] Trajectoire probatoire et auditabilite ciblees Sources : PD-177-specification.md §5 FN-177-02/FN-177-03, §4 INV-177-13 a INV-177-15 ; PD-177-tests.md §2 TC-177-06, TC-177-11, TC-177-12 Constat : Convergence sur la chaine de preuve attendue (Merkle root <-> transaction <-> confirmation <-> preuve composite) et sur la liaison append-only deterministe.

[CV-04] Regle de finalisation stricte et erreurs explicites Sources : PD-177-specification.md §4 INV-177-16/INV-177-17, §6 ERR-177-03 a ERR-177-06 ; PD-177-tests.md §2 TC-177-13, §4 TC-ERR-03 a TC-ERR-06 Constat : Alignement sur l'interdiction des echec silencieux et sur l'absence de statut finalise en cas d'abandon/echec/reorg.

[CV-05] Exigences de non-fuite de secrets et incident securite Sources : PD-177-specification.md §4 INV-177-08/INV-177-09, §6 ERR-177-08 ; PD-177-tests.md §3 TC-SEC-01/TC-SEC-02, §4 TC-ERR-08 Constat : Les artefacts contractuel et de test convergent sur la logique attendue : pas de secret en clair, blocage explicite et creation d'incident securite en cas de detection.

[CV-06] Couverture theorique complete du perimetre testable Sources : PD-177-tests.md §1 Matrice de couverture, §6 Verdict ; PD-177-review-step3.md §17 ecarts identifies (structure par ecarts, pas remise en cause explicite de l'existence d'un plan de test complet) Constat : Les documents convergent sur l'existence d'un corpus de verification structure (INV/CA/ERR mappes), meme si des ecarts de definition/implementation subsistent.

2. Divergences

[DV-01] Politique de confirmations reseau : declaree existante vs incoherente Source A : PD-177-specification.md §9 HYP-177-06 - la politique de confirmations est presumee deja definie. Source B : PD-177-review-step3.md §ECART-02, §ECART-06 - politique non coherente (valeurs 12/30/5-par-reseau), hypothese HYP-177-06 jugee potentiellement fausse. Impact : impossibilite de contractualiser un critere de confirmation stable; testabilite des statuts confirmee/finalise non deterministe. Criticite : BLOQUANT

[DV-02] Perimetre reseau (Polygon + Arbitrum) vs confirmation codee Polygon Source A : PD-177-specification.md §2 Perimetre - reseaux cibles Polygon et Arbitrum. Source B : PD-177-review-step3.md §ECART-07 - hardcode Polygon dans waitForConfirmation(), Arbitrum non confirmable. Impact : rupture de contractualisation multi-reseau dans le perimetre officiel; tests multi-reseaux potentiellement non executables. Criticite : BLOQUANT

[DV-03] Detection fuite secret : obligation fail-closed vs mecanisme non defini Source A : PD-177-specification.md §4 INV-177-09 - echec explicite obligatoire en cas de detection de fuite. Source B : PD-177-review-step3.md §ECART-08 - conflit fail-open/fail-closed, mecanisme de detection non specifie. Impact : non-verifiabilite du comportement securite attendu; risque de conformite invalide sur exigence critique. Criticite : BLOQUANT

[DV-04] Append-only contractuel vs implementation support non stabilisee Source A : PD-177-specification.md §3 Definition "registre append-only", §4 INV-177-14, §5 FN-177-02. Source B : PD-177-review-step3.md §ECART-04 - nature du registre append-only ambigu (table PG/event log/WORM). Impact : absence de cible technique unique pour auditer l'immutabilite; tests d'integrite potentiellement non opposables. Criticite : MAJEUR

[DV-05] Champ "adresse emettrice" requis vs absent dans la persistance existante Source A : PD-177-specification.md §4 INV-177-13 - adresse emettrice obligatoire dans la journalisation. Source B : PD-177-review-step3.md §ECART-05 - champ absent de l'entite de persistance existante. Impact : chaine de preuve incomplete et impossibilite de prouver formellement l'association transaction/adresse. Criticite : MAJEUR

[DV-06] Systeme d'erreurs unifie attendu vs double nomenclature non mappee Source A : PD-177-specification.md §6 ERR-177-01..08, §9 HYP-177-04 - couverture par codes existants sans extension immediate. Source B : PD-177-review-step3.md §ECART-11 - coexistence ERR-177-XX et BlockchainErrorCode sans mapping explicite. Impact : incoherence de contractualisation des erreurs et assertions de test fragilisees (oracle de verif non unique). Criticite : MAJEUR

[DV-07] Exercice de reprise : exigence unique vs formulations multiples Source A : PD-177-specification.md §4 INV-177-18, §7 CA-177-13, §8 ST-177-10 - exigence de procedure de reprise documentee et testee. Source B : PD-177-review-step3.md §ECART-09 - 4 formulations divergentes pour l'exercice de reprise. Impact : ambiguite sur le critere d'acceptation exact (preuve attendue, forme du resultat, niveau d'auditabilite). Criticite : MAJEUR

[DV-08] Statut de testabilite "complet" vs preconditions de test non normalisees Source A : PD-177-tests.md §1 Matrice (INV/CA/ERR marques TESTABLE), §6 Verdict (couverture contractuelle atteinte). Source B : PD-177-review-step3.md §ECART-01, §ECART-04, §ECART-08, §ECART-14 - format horodatage, support append-only, fail-closed et atomicite non definis. Impact : la testabilite annoncee est contredite par des prerequis contractuels manquants, ce qui affaiblit l'opposabilite des resultats PASS/FAIL. Criticite : MAJEUR

3. Zones d'ombre

[ZO-01] Seuil de confirmations par reseau non norme Constat : aucun document ne fixe une valeur contractuelle unique (ou regle versionnee) de confirmations pour Polygon/Arbitrum. Impact : risque de finalisation incoherente et de litige sur la validite d'un ancrage confirme.

[ZO-02] Format d'horodatage non specifie Constat : les documents exigent un horodatage mais ne normatifient pas format/timezone/precision (ex: ISO 8601 UTC ms). Impact : risque d'incompatibilite entre artefacts et de verification tierce non reproductible.

[ZO-03] Modele de menace pour compromission serveur Constat : INV-177-10 pose un objectif, mais aucun document ne definit le modele d'attaque, les preconditions ni les controles minimaux de preuve. Impact : exigence securite difficilement testable et interpretable de facon variable.

[ZO-04] Surface complete de fuite de secrets Constat : la detection de fuite est exigee, sans inventaire explicite des surfaces a couvrir (logs, traces, dumps memoire, outils tiers, etc.). Impact : trous de couverture securite possibles malgre tests partiellement positifs.

[ZO-05] Atomicite signature/diffusion Constat : aucun document ne specifie le comportement contractuel entre signature reussie et echec de diffusion (etat intermediaire, reprise, idempotence). Impact : risque de doubles emissions, etats fantomes ou perte de tracabilite.

[ZO-06] CL-177-02 seuil de solde et refill Constat : la valeur du seuil minimal, le delai de refill et la responsabilite operationnelle restent non formalises. Impact : impossibilite de verifier la conformite preventive; pilotage uniquement reactif par cas d'erreur.

[ZO-07] CL-177-03 separation testnet/mainnet Constat : aucun critere mesurable de cloisonnement des identites et permissions par environnement n'est defini. Impact : risque de melange d'identites reseau et de pollution probatoire inter-environnements.

[ZO-08] CL-177-04 objectifs RTO/RPO de reprise custody Constat : les objectifs chiffrables de reprise ne sont pas fournis, malgre l'exigence d'exercice. Impact : incapacite a statuer objectivement sur la conformite de continuite d'exploitation.

[ZO-09] CL-177-06 gouvernance de declaration publique de l'adresse Constat : autorite proprietaire, canal et preuve de publication ne sont pas contractualises dans les artefacts. Impact : risque juridique/compliance et impossibilite d'audit externe de la gouvernance d'identite.

[ZO-10] CL-177-07 criteres de souverainete opposables Constat : aucune metrique technique/juridique mesurable de souverainete custody n'est definie. Impact : exigence de souverainete non auditable, exposition a des interpretations contradictoires.

[ZO-11] CL-177-08 perennite 10-50 ans Constat : le sujet est reconnu mais maintenu hors perimetre testable, sans traduction en obligations minimales court/moyen terme. Impact : angle mort strategique sur la maintenance de l'identite blockchain et la continute probatoire longue duree.